Двухфакторная аутентификация с использованием SMS-сообщений в очередной раз доказала свое несовершенство. С помощью старого трюка неизвестный хакер обокрал клиента американской телекоммуникационной компании AT&T, обманным образом завладев его учетной записью в PayPal.
Случай произошел с разработчиком iOS-приложений Джастином Уильямсом (Justin Williams) из Колорадо. На прошлой неделе неизвестный злоумышленник сумел втереться в доверие к сотруднику техподдержки AT&T и попросил его привязать телефон Уильямса к другой SIM-карте. Другими словами, один мошенник сумел заставить крупную телекоммуникационную компанию внести существенные изменения в чужую учетную запись, даже не сообщив соответствующий код безопасности.
Прежде чем добиться желаемого, злоумышленник несколько раз звонил в AT&T и под видом Уильямса просил привязать его учетную запись к другой «симке». Сотрудники техподдержки AT&T не могут осуществлять подобные действия, если обратившийся к ним клиент не предоставит соответствующий код безопасности. Тем не менее, один из сотрудников «сжалился» над псевдо-Уилямсом и в нарушение протокола привязал телефон к новой SIM-карте. В результате все SMS-сообщения разработчика стали приходить на телефон мошенника.
С помощью двухфакторной аутентификации злоумышленник изменил пароль Уильямса в PayPal (в качестве аутентификации сервис просит ввести отправленный на телефон код безопасности) и получил полный контроль над учетной записью. Ни перезагрузка телефона, ни изменение настроек сети не помогли. Поначалу разработчик думал, будто проблема в установленной на его iPad операционной системе iOS 11. Однако, когда мошенник начал переводить его деньги на свои счета, Уильямс понял, что произошло.
В конце концов разработчику удалось добиться от AT&T отключения телефона мошенника и получения новой SIM-карты. Теперь Уильямс пытается аннулировать проведенные преступником транзакции, однако особо не надеется на сговорчивость представителей PayPal.

Источник: securitylab.ru